Компания Group-IB провела в конце ноября свою ежегодную конференцию CyberCrimeCon 2020, которая в этом году прошла в режиме онлайн. На ней традиционно обсуждается ситуация в мире с киберпреступностью. В этом году, как и раньше, компания подготовила аналитический отчёт Hi-Tech Crime Trends, в котором проанализировали деятельность хакерских группировок и используемые ими методы.
Сам же аналитический отчёт Hi-Tech Crime Trends представил на конференции со-основатель и CTO Group-IB Дмитрий Волков. Он отметил, что наиболее популярной схемой получения дохода в прошедшем году стало вымогательство. Только вымогатели перешли от шантажа отдельных граждан к шифрованию данных корпоративных сетей компаний и организаций. Причем этим «бизнесом» занялись в том числе и операторы зомби-сетей, таких как TrickBot, Qbot, Silent Night, а также банковских троянцев. По данным Group-IB наиболее крупные зомби-сети смогли за прошедший год атаковать около 2,5 тыс. корпоративных сетей. При этом совокупный ущерб, нанесенный этими атаками составил по оценкам экспертов компании более 1 млрд долл. Впрочем, в октябре ФБР взяло под контроль сеть TrickBot, а Group-IB только предлагает коммерческий инструмент для расследования инцидентов в компаниях.
Ещё одну особенность отметили в Group-IB — очень мало сведений о подобных инцидентах с вымогателями попадает в прессу. Так из обнаруженных 2,5 тыс. инцидентов только о 62 стало известно широкой общественности, то есть примерно 2,5%. Пресса, конечно, догадывалась об этом, но теперь впервые названа доля латентных преступлений в этой сфере. Возможно, она даже аналогична и для других ИБ-рисков. Связано это в том числе и с тем, что даже если злоумышленники не получают выкуп, то они все-равно находят применение полученным в корпоративных сетях данным. Часто они продают их на аукционе, но не публикуют. Но, казалось бы, именно компании, которые занимаются расследованиями, и заинтересованы в публикации сведений о них. По крайней мере зарубежном именно частные детективы, такие как Брайан Кребс, публикует данные об утечках и наиболее интересных инцидентах. Именно он заметил операцию против TrickBot.
В отчете также отмечается формирование нового «рынка хакерских услуг» — продажи доступа во взломанные корпоративные сети. Group-IB зафиксировала как минимум 257 подобных сделок. При этом мировой объем этого рынка по оценкам экспертов компании составляет 6 млн долл., хотя в прошлом году он был почти в 1,6 млн долл. Это связано с тем, что сейчас доступ в корпоративные сети продаются достаточно дорого, а для его получения используются примитивные приемы, типа подбора паролей или фишинга. Group-IB зафиксировала продажу только одного доступа за 11 BTC, что на момент продажи было эквивалентно 125 тыс. долл. При этом большинство скомпрометированных компаний находиться в США, Франции, Великобритании и Италии. По отраслям распределение следующее: государственные, образовательные, ИТ, производство, здравоохранение и ЖКХ. Отмечается, что этим бизнесом промышляют в том числе и спонсируемые государством хакеры, правда какие именно государства этим промышляют сказано не было.
Впрочем, «государственные хакеры» сейчас активно занялись атаками на объекты критической инфраструктуры. Были зафиксированы атаки на предприятия по обогащению урана в Иране, индийскую АЭС, израильский водоканал, иранский морской терминал, нефтехимические и ядерные предприятия. Причем атаки нацелены именно на причинение физического вреда объектам критической инфраструктуры вплоть до их разрушения. Эксперты Group-IB прогнозируют в дальнейшем продолжение атак на критическую инфраструктуру, в частности, на аэрокосмическую отрасль, правда не назвали причину таких оценок. При этом внедряемые технологии интернета вещей и 5G только увеличат поверхность для атак и ее скорость. Скорее всего, рынок вымогателей тем не менее стабилизируется, а вот продажи доступа во взломанные сети и атак на критическую инфраструктуру продолжат расти.
Впрочем, приведенные в докладе примеры в основном относятся к азиатским компаниям, которые активно занимаются цифровизацией и, видимо, не очень заботятся о безопасности. К тому же они используют, скорее всего, оборудование иностранного производства для построения своих промышленных решений. Возможно, именно это и позволяет «государственным хакерам» атаковать и выводить из строя объекты критической инфраструктуры. В России ситуация несколько другая — здесь есть и собственные производители промышленных ИТ-решений, и производство собственных средств защиты, и законодательные требования по защите объектов критической инфраструктуры. Да, операторы SOC из других компаний фиксируют повышенный интерес хакеров к объектам критической инфраструктуры, однако пока серьезных инцидентов с физическими последствиями зафиксировано не было.